ISO/SAE 21434 ve UNECE R155: Bağlı Filolarda Araç Siber Güvenlik Mimarisi 2026

UNECE WP.29 (World Forum for Harmonization of Vehicle Regulations) altında 2021'de kabul edilen iki regülasyon: R155 (Cybersecurity and Cybersecurity Management System) ve R156 (Software Update and Software Update Management System). AB Komisyonu (EU) 2018/858 Tip Onay Çerçeve Regülasyonu üzerinden bu iki regülasyonu Temmuz 2022 yeni tipler, Temmuz 2024 mevcut tipler için zorunlu kıldı. Türkiye Sanayi ve Teknoloji Bakanlığı SGM-2022/13 tebliği ile R155 + R156'yı ulusal mevzuata aktardı. R155 üreticiden 4 alan denetimi ister: tasarım, üretim, satış sonrası, dekomisyon. CSMS sertifikası olmayan üretici AB+Türkiye pazarında yeni tip onayı alamaz.

ISO/SAE 21434:2021 'Road Vehicles — Cybersecurity Engineering' standardı R155'in teknik uygulama referansıdır. Standardın iskeleti V-modeldir: sol taraf concept + design + integration, sağ taraf testing + validation + monitoring. Madde 15 'Cybersecurity Concept' aşamasında TARA (Threat Analysis and Risk Assessment) yapılır — ISO 31000 risk yönetimi ile uyumlu; STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, DoS, Elevation of Privilege) tehdit modeli + impact rating + attack feasibility hesaplanır. Madde 8 'Continuous Cybersecurity Activities' satış sonrası izlem + zaafiyet yönetimi + olay müdahalesini zorunlu kılar. ENISA 'Good Practices for Security of Smart Cars' (2024) raporu bu standardın aftermarket telematik cihazlar için de uygulanması gerektiğini vurguluyor.

Tipik OBD-II veya CAN-bus telematik dongle saldırı yüzeyi 5 katmanlıdır. (1) Fiziksel: dongle erişimi — saldırgan park yerinde fiziksel erişimle firmware dump alabilir. (2) CAN-bus tarafı: dongle CAN'a yazma yetkisine sahipse araç ECU'larına injection saldırısı mümkün — Charlie Miller & Chris Valasek 2015 Jeep Cherokee saldırısı (DEF CON) bu vektörü dünyaya gösterdi. (3) Cellular tarafı: 4G modem üzerinden MITM, SIM swap, IMSI catcher saldırıları. (4) Cloud tarafı: telematik platformuna brute-force, credential stuffing, API abuse. (5) Mobil uygulama tarafı: jailbreak'li telefonda local storage çekme, MITM proxy. ISO/SAE 21434 madde 9.5 'Asset Identification' her katmanı 'cybersecurity asset' olarak listeler; STRIDE matrisine yerleştirilir.

ISO/SAE 21434 Annex E güncel teknoloji 'state of the art' kontrol listesi sunar. Donanım katmanında: HSM (Hardware Security Module) veya secure element entegrasyonu, secure boot (Trusted Platform Module 2.0), tamper-evident enclosure. Firmware katmanında: imzalı OTA güncelleme (Ed25519 veya ECDSA P-256, FIPS 140-3 onaylı), rollback koruması (anti-downgrade counter), runtime integrity check. İletişim katmanında: TLS 1.3 + certificate pinning, mutual TLS, perfect forward secrecy. Veri katmanında: AES-256-GCM at-rest + in-transit, key rotation 90 gün. CAN bus tarafında: SecOC (Secure Onboard Communication, AUTOSAR R20-11) MAC tabanlı mesaj doğrulama. Bu kontrol seti olmayan dongle 2026'dan itibaren AB tip onaylı araçlara takılırsa OEM garantisi düşer.

R155 madde 7.3.7 'detection and response' bağlı araç filosu için 7/24 izlem yetkinliği şart koşar. Otomotiv sektöründe bunun karşılığı Vehicle Security Operations Center (V-SOC). V-SOC fonksiyonları: (a) anomali tespiti — CAN bus trafiğinde olağandışı mesaj sıklığı/içeriği, ML-tabanlı baseline; (b) tehdit istihbaratı entegrasyonu — Auto-ISAC (Automotive Information Sharing and Analysis Center) feed; (c) olay müdahale — CSIRT playbook + araç-spesifik kontrol (uzaktan immobilize, geofence izolasyon). MITRE ATT&CK for Automotive 2024 sürümü saldırı taktik/tekniklerinin haritalanmış halidir. Filo operatörleri kendi V-SOC'unu kurmak yerine SIEM (Splunk, Sentinel, Wazuh) ile telematik platform log'larını entegre eden bir 'managed security service' modeli kullanır.

ISO/SAE 21434 güvenlik standardıdır, gizlilik standardı değil — bu yüzden ISO/IEC 27701 (Privacy Information Management) ve GDPR/KVKK ayrı ele alınır. Bağlı araç verisi (lokasyon, sürücü ID, ödeme bilgisi, ses kaydı) KVKK madde 6 hassas kişisel veri eşiğine yaklaşabilir. EDPB (European Data Protection Board) 'Guidelines 01/2020 on processing personal data in the context of connected vehicles' (Final, 2021) zorunlu kılar: data minimization (sadece amaç için gerekli), purpose limitation, retention (telematik default 36 ay, EDPB önerisi 24 ay), local processing (mümkünse araç içi anonimleştirme). KVKK 2020/65 sayılı kararla çakışan iki ek yükümlülük: yazılı aydınlatma + meşru menfaat dengelemesi. Privacy-by-Design (ISO/PC 31700-1) gereği güvenlik mimarisi tasarımına gizlilik kontrolleri en başta eklenir.